Wanneer is er sprake van inbreuk op de beveiliging?
Een inbreuk op de beveiliging hoeft niet te betekenen dat de beveiliging is tekortgeschoten. Denkbaar is dat de beveiliging op zich van voldoende niveau is, maar dat de beveiligingsmaatregelen worden omzeild. In de toelichting bij het wetsvoorstel worden als voorbeeld genoemd: een hack van een ICT-systeem dat persoonsgegevens bevat en de diefstal van een laptop of mobiele telefoon uit een afgesloten kluisje.
Daarnaast kan de inbreuk op de beveiliging het gevolg zijn van een tekortschietende beveiliging. Dat is bijvoorbeeld het geval als bepaalde bestanden niet goed beveiligd zijn geweest of als er menselijke fouten zijn gemaakt. Als voorbeelden in de toelichting worden genoemd: het slordig omgaan met wachtwoorden, papieren dossiers die als oud papier worden aangeboden, het kwijtraken van een USB-stick.
Op de hierboven genoemde situaties is de meldplicht van toepassing. Uitsluitend wanneer de getroffen voorzieningen niet specifiek bedoeld zijn voor de beveiliging van persoonsgegevens hoeft geen melding te worden gedaan. In de toelichting bij het wetsvoorstel wordt het voorbeeld genoemd van een gebouw dat afbrandt als gevolg van blikseminslag, waarbij persoonsgegevens verloren zijn gegaan.
Gegevens die niet beveiligd worden opgeslagen, zoals wachtwoorden, vormen geen datalek. Dat is pas het geval als de gegevens op straat liggen. Niet adequaat beveiligde gegevens zijn wel strafbaar.
Bekijk alle veel gestelde vragen